A China publicou sua lei específica para proteção de dados pessoais. Quais são as implicações?

Os esforços globais para assegurar a proteção de dados têm aumentado bastante ao longo dos anos. Os governos do mundo inteiro têm se preocupado em criar leis e regulações que assegurem a segurança da circulação e do processamento das informações de cidadãos e usuários, principalmente por parte das empresas, respeitando a privacidade das pessoas e funcionando dentro das leis específicas do país.

Após a Regulamentação Geral de Proteção de Dados da União Europeia (GDPR), que busca garantir aos cidadãos maior controle sobre os próprios dados, governos de diversos países também passaram a investir em um regulamento próprio com o mesmo objetivo. 

Percurso da construção da PIPL

A mais recente regulação foi a da China, que, após várias revisões desde outubro de 2020, aprovou oficialmente sua PIPL (Personal Information Protection Law – Lei de Proteção da Informação Pessoal) em agosto deste ano. O primeiro projeto foi apresentado no Congresso Nacional de Pessoas da China, em 13 de outubro de 2020, e aberto para revisão do público em 21 de outubro do mesmo ano. 

Um mês depois, o documento de revisão foi fechado para avaliações internas. Em agosto de 2021, a proposta foi aprovada e está prevista para entrar em vigor em 1º de novembro.

A lei de proteção de dados chinesa é semelhante à lei europeia, porém com uma estrutura mais rígida, principalmente para as “Big Techs”. O objetivo é fortalecer ainda mais o regime atual de proteção, regulamentando a coleta, o tratamento e o uso dos dados de cidadãos chineses, incluindo regras que evitem o monopólio e o super enriquecimento de algumas empresas por meio dos dados da população. 

A Associação de Consumidores da China criticou fortemente esse tipo de comportamento por parte das empresas, afirmando que os algoritmos estão virando uma “intimidação técnica” aos consumidores.

Como a PIPL impacta as organizações?

Os dados são vistos pelo governo Chinês como um recurso básico e estratégico e pertencentes ao país, e o seu uso por terceiros deve ser reduzido ao mínimo possível, monitorado e com finalidades bem definidas. Logo, com a aprovação da PIPL, as atividades de organizações e de indivíduos que trabalham com informações pessoais serão fortemente impactadas. 

As entidades europeias temem que as regulações chinesas prejudiquem o comércio entre as empresas do bloco e a China, colocando em risco a privacidade de seus negócios, já que é preciso se submeter a demandas de proteção diferentes da LGPB europeia. 

Para as multinacionais, a situação não é diferente, pois consideram um cenário incerto para os negócios e um comportamento invasivo do governo chinês na audição às empresas. Em síntese, esse cenário incerto acaba gerando preocupação para as empresas devido aos seguintes requisitos:

• Os usuários recebem mais controle sobre os próprios dados: Os usuários podem solicitar/controlar a edição, a remoção e a restrição do transporte, processamento e uso dos seus dados. Além disso, o consentimento prévio pode ser alterado ou anulado pelo usuário.
• Mais rigor nos requisitos para compartilhamento e transferência de dados: A organização ou quaisquer outras partes envolvidas no controle dos dados precisam ser aprovadas nas avaliações relacionadas ao uso legal dos dados 
• Penalidades e multas em casos de violação dos dados: O valor das multas pode chegar até 50 milhões de RMB (Yuan Renminbi), o equivalente a 40 milhões de reais ou 7 milhões de dólares , dedução de porcentagem da receita anual ou até mesmo o encerramento do negócio.
• Controles de segurança obrigatórios: O processamento de informações de identificação pessoal, sensíveis ou críticas deve ser submetido a controles rígidos de segurança obrigatórios e a equipe responsável pelo manuseio deve receber o devido treinamento. 
• Localização obrigatória dos dados: O processamento das informações de identificação pessoal é limitado às fronteiras definidas pela Administração de Segurança Cibernética da China – CAC. Caso a empresa ultrapasse esses limites, deverá fornecer a localização desses dados.

Pontos-chave da Lei Chinesa

A lei apresenta requisitos e regulações sobre a forma legal de manuseio de informações de identificação pessoal, que são as que identificam o usuário de alguma forma em meios eletrônicos, incluindo as informações críticas de segurança de estado e as informações sensíveis, que envolvem religião, crenças, etnias, informações financeiras, rastreamento de usuários e outras. 

Assim, são destacados alguns pontos-chave que devem ser observados pelas empresas em operações que lidem com informações dessa natureza.

Consentimento dos usuários
Antes de qualquer operação com dados pessoais, as empresas ou interessados devem solicitar o consentimento dos usuários titulares, que devem ser notificados explicitamente acerca de qualquer assunto relacionado ao processamento de seus dados, incluindo informações de identidade e de contato dos responsáveis pelo manuseio. (Artigo 24)

Gestão organizacional
Os responsáveis pelo manuseio dos dados devem adotar medidas de segurança que asseguram a proteção contra invasões, vazamentos ou roubo durante a coleta, o transporte e o processamento dos dados. Algumas dessas medidas envolvem a criptografia de dados e o treinamento adequado dos responsáveis pelas operações e/ou supervisionar as operações. (Artigos 50, 51, 52)

Direitos individuais
Os usuários devem ter direito de acesso aos próprios dados, podendo modificá-los, deletá-los, decidir quando suas informações podem ou não ser processadas ou solicitar explicação acerca do processamento. (Artigos 44, 45, 46 e 48)

Fronteiras de transferências de dados
A transferência dos dados para fora da China só pode ser feita mediante o consentimento explícito dos titulares, que devem ser notificados quando suas informações forem transferidas para fora do território chinês. Quando o processamento ultrapassa os limites das fronteiras, a organização é submetida a uma avaliação de segurança, na qual deve ser aprovada para prosseguir com as operações. (Artigos 39 e 40)

Localização de dados
Quando as organizações atingem o limite de volume de dados definidos pela CAC, devem manter o armazenamento das informações já então coletadas e geradas nas dependências do território chinês. (Artigo 40)

O que podemos esperar como próximos passos?

A aprovação da Lei interferiu em vários setores da economia e gerou preocupações para as empresas chinesas e as multinacionais europeias, principalmente as ‘Big Techs’. Nesse sentido, as empresas que lidam com transporte, coleta e tratamento de dados, bem como o desenvolvimento de softwares e atividades relacionadas devem agir de forma ética e moral, atentando para todos os requisitos estabelecidos pela lei, caso queiram assegurar o bom funcionamento dos negócios e uma boa reputação.